Descripción general
A comienzos del verano de 2023, muchos usuarios de la blockchain de Tron empezaron a recibir ingresos insignificantes desde direcciones desconocidas, y la proporción de tales transacciones en la red comenzó a alcanzar un valor tangible. Los activos TRX y USDT eran los más comunes en estos envíos. Este tipo de ataque no tenía nombre propio, pero se le llamó «dust attacks» (ataques de polvo) por la similitud con un tipo parecido de «dust attack» en la red BTC en cuanto a factores externos. Por el momento, el nombre de trabajo de este ataque en nuestro equipo es «ataque de caspa» (dandruff attack), y a los pagos menores se les llama «caspa» (dandruff).
¿Qué significan los «ataques de caspa»?
El atacante envía múltiples transacciones a direcciones que recientemente han realizado o recibido transacciones. Luego, espera el caso en que el receptor de la «caspa» copie por error la dirección del atacante en lugar de la de su destinatario objetivo y le envíe los activos.
Hemos identificado 6 generaciones de este ataque. La eficacia de las redes atacantes más avanzadas superó el 3800%.
El número total de direcciones que enviaron el token TRX como parte de este ataque fue de > 683 434 052 transacciones, y el token USDT > 85 304 707 transacciones.
¡Combatir este tipo de ataque es posible! Los métodos y técnicas específicos se describen en la sección de investigación.
Mecanismo de ejecución de los «ataques de caspa»
Durante la breve fase de desarrollo activo de este tipo de ataque (a partir del verano de 2023), ha recorrido un largo camino desde una lista de envío primitiva hasta un sistema bien pensado con métodos muy interesantes de analítica de objetivos. Hasta la fecha, pueden distinguirse varias generaciones de «ataques de caspa».
Durante la breve fase de desarrollo activo de este tipo de ataque (a partir del verano de 2023), ha recorrido un largo camino desde una lista de envío primitiva hasta un sistema bien pensado con métodos muy interesantes de analítica de objetivos. Hasta la fecha, pueden distinguirse varias generaciones de «ataques de caspa». La primera generación
La primera generación
- La lista de envío va de forma caótica a todas las direcciones que han realizado transacciones recientemente usando tokens TRX.
La lista de envío va de forma caótica a todas las direcciones que han realizado transacciones recientemente. Se usa TRX para el envío (debido a la posibilidad de enviarlo sin gastar Energy, únicamente a expensas del Bandwidth (la rentabilidad se comentará con más detalle en la sección correspondiente)).
Baja eficiencia del esquema.
Ejemplo de una de las direcciones del atacante: TGuuuq9asKwhGR2Zq21vQ1Nk4yFiTc8G3J

- El envío se realiza de forma caótica usando tokens USDT.
El envío sigue realizándose de forma caótica, pero usando tokens USDT. Solo hay una pequeña diferencia en el valor de los activos transferidos (sigue siendo de 0,01 $ o menos); el coste de tal envío aumenta debido a la Energy consumida para hacer una transacción con cualquier token (las transacciones con TRX usan solo el Bandwidth renovable a diario, y la transferencia de cualquier token consumirá Bandwidth y Energy al mismo tiempo. Esta última se obtiene mediante el staking de TRX o quemándolo).
Ejemplo de una de las direcciones del atacante: TEdi3CGdKewc1ZRen3SWkGf3YecoVT457j

Tercera generación
- El envío se realiza de forma caótica, usando tokens USDT, y se ha añadido el filtrado de objetivos del ataque.
Es un desarrollo de la segunda generación, pero se han añadido algunas formas de filtrar los objetivos del ataque.
Tales filtros incluyen:
El saldo de la dirección;
La frecuencia de las transacciones del objetivo,
El tiempo de las transacciones, etc.
Cada desarrollador de la red atacante forma tales restricciones a su discreción. En esta etapa, hay una complicación del esquema de trabajo al introducir algoritmos de analítica, y requerirá hacer más solicitudes a los nodos de la red, lo que, a su vez, puede dar capacidades técnicas para analizar a los atacantes.
Cuarta generación
- Selecciona direcciones con una terminación similar a la de la contraparte de la dirección atacada.
Este algoritmo de funcionamiento de la red del atacante ya aumenta significativamente la eficacia del ataque, pero requiere un mayor nivel de ejecución de los módulos de la red atacante. Esta generación de ataque selecciona direcciones con una terminación similar a la de la contraparte de la dirección atacada.
Usando el mecanismo de coincidencia del final de la dirección de cripto, genera una dirección que tiene la máxima similitud en los últimos caracteres. Esto aumenta significativamente la probabilidad de un ataque exitoso. Este ataque puede combinar varios métodos de analítica disponibles en la tercera generación.
Al mismo tiempo, la elección de la dirección atacada y la generación de la dirección del atacante, similar a la dirección de la contraparte del objetivo, hace necesario reponer con prontitud las direcciones del atacante con activos y recursos para completar la transacción. Esto hace poco aplicable el mecanismo de suministrar Energy a la red atacante desde el staking. La mayoría de las redes que atacan en esta generación pagan comisiones por realizar transacciones quemando TRX.
Quinta generación
- Análisis de selección de objetivos; Generación de direcciones similares a la contraparte; Transferencia de una cantidad de activos similar a la enviada por la contraparte.
Este algoritmo de funcionamiento de la red del atacante ya aumenta significativamente la eficacia del ataque, pero requiere un mayor nivel de ejecución de los módulos de la red atacante. Esta generación de ataque selecciona direcciones con una terminación similar a la de la contraparte de la dirección atacada.
Usando el mecanismo de coincidencia del final de la dirección de cripto, genera una dirección que tiene la máxima similitud en los últimos caracteres. Esto aumenta significativamente la probabilidad de un ataque exitoso. Este ataque puede combinar varios métodos de analítica disponibles en la tercera generación.
Al mismo tiempo, la elección de la dirección atacada y la generación de la dirección del atacante, similar a la dirección de la contraparte del objetivo, hace necesario reponer con prontitud las direcciones del atacante con activos y recursos para completar la transacción. Esto hace poco aplicable el mecanismo de suministrar Energy a la red atacante desde el staking. La mayoría de las redes que atacan en esta generación pagan comisiones por realizar transacciones quemando TRX.
Quinta generación
- Análisis de selección de objetivos; Generación de direcciones similares a la contraparte; Transferencia de una cantidad de activos similar a la enviada por la contraparte.
Es la más eficaz gracias a una combinación de varios mecanismos:
Análisis de selección de objetivos;
Generación de direcciones similares a la contraparte
Transferencia de una cantidad de activos similar a la enviada por la contraparte como pago de prueba.
Esta generación se caracteriza por los ataques más selectivos, con un intento de duplicar un pago de prueba entre direcciones. Durante el análisis, identificamos casos de envío de cantidades duplicadas de hasta 2 USDT, con sujeción a una serie de condiciones, tales como: la ausencia de transacciones realizadas previamente entre las partes + la presencia de una cantidad significativa en el saldo del objetivo + el envío de un pago de prueba de no más de 2 USDT.
Ventajas:
Eficacia del ataque extremadamente alta.
Sexta generación
- Añadir la dirección del atacante a la lista de personas a las que la víctima «envió» activos anteriormente.
Desde mediados de noviembre de 2023, se han producido ataques en los que se envían 0 USDT desde la dirección de la víctima a la dirección del atacante. Este tipo de ataque es posible debido a la ausencia de cualquier restricción para enviar 0 activos desde cualquier dirección en la red Tron, incluso en ausencia de claves privadas de la dirección de envío.
La lógica de este ataque difiere en el hecho de que el atacante inserta su dirección, no en la lista de remitentes a la dirección de la víctima, sino en la lista de personas a las que la víctima envió activos anteriormente. Esta característica del ataque lo hace menos perceptible y más eficaz para los atacantes. Puede combinarse con mecanismos para generar direcciones de criptomonedas similares a las contrapartes atacadas, lo que aumenta significativamente la eficacia del ataque.
La economía de los «ataques de caspa»
La rentabilidad de un ataque se define como la diferencia entre los costes del funcionamiento de la red y los ingresos de activos de las víctimas a las direcciones atacantes.
- Los costes del funcionamiento de la red se componen de los siguientes elementos:
- Desarrollo de los módulos de la red atacante;
- Activación de cada dirección de la red atacante;
- Los costes de transacción por transferir activos a las direcciones atacantes para los ataques y por enviar «caspa»;
- Los costes asociados a obtener datos sobre la actividad de la red Tron (proveedores de datos externos o lanzar y mantener tu propio nodo).
Rentabilidad con el ejemplo de una red concreta
El análisis de la eficacia del ataque se considerará en la red atacante donde el suministro de activos se realizó desde la dirección TTFGc88GU8LXrXNnSPZFeeivSwaBZoJGk1.

La dirección TTFGc88GU8LXrXNnSPZFeeivSwaBZoJGk1 envió 721.054 TRX y 1.750 USDT a más de 60.000 direcciones de la red atacante, mientras se pagaba una comisión de 90.443 TRX. Los costes totales de los criptoactivos usados en el marco de esta red de direcciones ascendieron a aproximadamente 46.000 $. Combinado con los costes enumerados a continuación, la cantidad aproximada de fondos gastados en lanzar la red fue de 50 000 – 55 000 $.
Como resultado del funcionamiento de la red estudiada, se establecieron 153 ingresos a las direcciones de la red atacante después de que se realizara la transacción en dirección a la atacada desde tal dirección. La cantidad total de fondos recibidos de esta manera ascendió a al menos 1.941.484 USDT.
La rentabilidad de la red estudiada superó el 3800%.
Las medidas de contrarresto más eficaces
Como resultado del análisis de los «ataques de caspa», consideramos posible reducir el riesgo de tal ataque de las siguientes maneras:
- Los desarrolladores de aplicaciones de monederos de criptomonedas pueden introducir la posibilidad de ocultar por defecto las transacciones de menos de 1 $, lo que reducirá la eficacia de los ataques de la primera, cuarta y sexta generaciones a casi cero.
- El análisis en profundidad y la desanonimización de los gestores de las direcciones de staking que suministran Energy a las redes atacantes hará este tipo de ataque (para la segunda y tercera generaciones) más difícil y económicamente no rentable.
- El análisis de las fuentes de recepción de TRX en las redes de direcciones atacantes permitirá ejercer una presión adicional sobre los administradores de las redes atacantes de la primera, cuarta y sexta generaciones.
- El bloqueo automático de los activos Tether USDT en las direcciones atacantes cuando se reciban en ellas cantidades superiores a un determinado valor tras el envío de «caspa», basado en un algoritmo automático de análisis de actividad (tal algoritmo fue implementado por nuestros especialistas técnicos en pocas horas), llevará a la pérdida de la viabilidad económica de este tipo de ataque.
- El estudio de los logs de las solicitudes a los servicios clave para proporcionar información sobre las transacciones en la red Tron te permitirá (si el atacante no usa su propio nodo) identificar a los posibles administradores de las redes atacantes de todas las generaciones.
- La identificación de los autores de los algoritmos de ataque se lleva a cabo en la fase de depuración buscando ataques similares en la red de pruebas. Muchas redes atacantes se prueban en las testnets de Tron para su depuración y ajuste. Obtener tokens en la testnet de Tron solo es posible a través de la comunidad oficial en Discord. Un ejemplo de tal ataque puede ser esta transacción.
Recursos de información utilizados
https://tronscan.org/
https://developers.tron.network/docs/resource-model
https://tronstation.io/calculator
El estudio fue realizado por:
Populares
- Artículos Un usuario legítimo puede ver su USDT congelado por fondos con un historial contaminado.
- Artículos ¿Se pueden recuperar las criptomonedas robadas?
- Noticias Estafa del enlace de reunión falso: cómo se roba la cripto
- Noticias Sanciones a HTX: riesgos para los activos cripto
- Artículos Cómo los hackers roban criptomonedas
- Noticias Tether descongeló 79 M$ — y sabemos por qué
- Artículos ¿Te robaron cripto? Los primeros 60 minutos deciden qué se puede recuperar.
- Noticias Recuperación de criptoactivos a través de redes OTC
- Artículos Tether congeló tus USDT: qué está pasando y qué hacer
- Artículos Las carteras cripto se hackean a través de dispositivos, apps y error humano, no de la blockchain.
